/

JIS X 9250:2017 情報技術―セキュリティ技術―プライバシーフレームワーク(プライバシー保護の枠組み及び原則) | ページ 2

次のページ
4
X 9250 : 2017 (ISO/IEC 29100 : 2011)
  PIIに関連する個人。
    注記 法域及び特定のデータ保護並びにプライバシーに関する法令によっては,“PII主体”という用
          語の代わりに“データ主体”という同意語を使用することができる。
2.12
PII処理者(PII processor)
  PII管理者に代わり,かつ,その指示に従ってPIIを処理するプライバシー利害関係者。
2.13
プライバシー侵害(privacy breach)
  一つ以上の関連するプライバシー安全対策要件(2.21)に反してPIIが処理される状況。
2.14
プライバシー管理策(privacy controls)
  プライバシーリスク(2.19)の起こりやすさ又はそれが起きた結果の影響を低減することによって,プ
ライバシーリスクを処理する対策。
    注記1 プライバシー管理策には,組織的,物理的及び技術的な対策が含まれる。例えば,ポリシー,
            手順,ガイドライン,適法契約,経営慣行,組織構造などである。
    注記2 プライバシー管理策は,安全対策又は対応策の同意語として使用される。
2.15
プライバシー強化技術,PET(privacy enhancing technology, PET)
  PIIを除去若しくは削減することによって,又は,不必要な及び/又は望まれないPII処理(2.23)を回
避することによって,ICTシステムの機能を阻害することなくプライバシーを保護する,ICTの手段,製
品又はサービスから構成されるプライバシー管理策。
    注記1 PETの例としては,次のような処理を行う匿名化ツール及び仮名化(2.24)ツールがある。
            ただし,これらだけに限定されるものではない。
            a)   IIを除去,削減,マスク又は非識別化する。
            b) 不必要な,権限外の,及び/又は望まれないPII処理を回避する。
    注記2 マスクするとは,PIIの要素を覆い隠すプロセスのことである。
2.16
プライバシーポリシー(privacy policy)
  PII管理者が正式に表明した,特定の状況におけるPII処理に関連する全般的な意図及び指示,並びに規
則及びコミットメント。
2.17
プライバシー選好(privacy preferences)
  自分のPIIが特定の目的のためにどのように処理されるのがよいかについての,PII主体の具体的な選択。
2.18
プライバシー原則(privacy principles)
  PIIがICTシステムで処理される場合に,そのプライバシー保護を律する共有された価値観の集合。
2.19
プライバシーリスク(privacy risk)
  プライバシーに対する不確かさの影響。
    注記1 JIS Q 0073 [1]及びJIS Q 31000 [2]では,リスクは“目的に対する不確かさの影響”と定義さ

――――― [JIS X 9250 pdf 6] ―――――

                                                                                              5
                                                                X 9250 : 2017 (ISO/IEC 29100 : 2011)
            れている。
    注記2 不確かさとは,事象,その結果又はその起こりやすさの,関連情報,理解又は知識がたとえ
            部分的にでも欠落している状態をいう。
2.20
プライバシーリスクアセスメント(privacy risk assessment)
  PII処理に関するリスク特定,リスク分析及びリスク評価のプロセス全体。
    注記 このプロセスは,プライバシー影響評価とも呼ばれる。
2.21
プライバシー安全対策要件(privacy safeguarding requirements)
  PIIを処理する場合に,PIIのプライバシー保護について組織が考慮しなければならない一連の要求事項。
2.22
プライバシー利害関係者(privacy stakeholder)
  PIIの処理に関連した意思決定若しくは活動に影響を与える,当該意思決定若しくは活動から影響を受け
ることがある,又は影響を受けると認識している,個人,法人,公共団体,政府機関又は他の団体。
2.23
PII処理(processing of PII)
  PIIに対して実施される操作又は一連の操作。
    注記 PIIの処理操作の例としては,PIIの収集,保管,変更,修正,参照,開示,匿名化,仮名化,
          配布又は他の方法で利用可能にすること,削除,破棄などがある。ただし,これらだけに限定
          されるものではない。
2.24
仮名化(pseudonymization)
  PIIに適用される,識別情報を別名に置換するプロセス。
    注記1 仮名化は,PII主体自身又はPII管理者のいずれかによって実施することができる。仮名化を
            利用すると,PII主体は,資源若しくはサービスに(又はサービスとサービスとの間で)PII
            主体の識別要素を開示せずに,その使用の責任をPII主体が負ったまま,資源又はサービス
            を一貫して利用することができる。
    注記2 仮名化は,別名とそれにひも(紐)付けられたデータとに基づいてPII主体の識別要素を判
            別することができる(限られた)プライバシー利害関係者が,仮名化されたデータのPII管
            理者のほかにも存在するという可能性を排除しない。
2.25
二次利用(secondary use)
  最初の条件とは異なる条件で行われるPII処理。
    注記 最初の条件とは異なる条件には,例として,PIIの処理の新しい目的,PIIの新しい受領者など
          がある。
2.26
機微PII(sensitive PII)
  PII主体の最も私的な領域に関連する情報のように,その性質が機微であるか,又はPII主体に重大な影
響を及ぼす可能性があるPIIのカテゴリ。
    注記 一部の法域又は特定の状況では,PIIの性質を勘案して機微PIIが定義される。次を含むような

――――― [JIS X 9250 pdf 7] ―――――

6
X 9250 : 2017 (ISO/IEC 29100 : 2011)
          ものは機微PIIとされ得る。
          a) 人種
          b) 政治に関する意見,宗教,又はその他の信条
          c) 健康,性生活,又は刑事上の有罪判決に関する個人のデータ
          d) その他の機微であるとされる可能性のある情報
2.27
第三者(third party)
  PII主体,PII管理者及びPII処理者,並びに,PII管理者又はPII処理者による直接の許可の下でデータ
を処理する権限が与えられた個人を除く,プライバシー利害関係者。

3 記号及び略語

  この規格で用いる主な略語は,次による。
ICT   情報通信技術(Information and Communication Technology)
PET プライバシー強化技術(Privacy Enhancing Technology)
PII   個人識別可能情報(Personally Identifiable Information)

4 プライバシーフレームワークの基本要素

4.1 プライバシーフレームワークの概要

  次の構成要素は,ICTシステムにおけるプライバシー及びPII処理に関連しており,この規格で示すプ
ライバシーフレームワークを構成する。
− 登場者(actor)及び役割
− インタラクション
− PIIの認識
− プライバシー安全対策要件
− プライバシーポリシー
− プライバシー管理策
  このプライバシーフレームワークを作成するに当たり,他の公式の情報源による概念,定義及び勧告が
考慮されている。これらの情報源については,ISO/IEC JTC 1/SC 27 WG 5 Standing Document 2 (WG 5
SD2)−Official Privacy Documents References [3] に示されている。

4.2 登場者(actor)及び役割

  この規格の目的を達成するに当たって,PII処理における登場者(actor)を特定することが重要である。
PII処理の登場者(actor)には四つの種類がある。PII主体,PII管理者,PII処理者及び第三者である。
4.2.1  PII主体
  PII主体は,処理のためPII管理者及びPII処理者に自分のPIIを提供する。適用される法令に別段の定
めがない限り,PII主体は,同意を与え,自分のPIIがどのように処理されるのがよいかに対するプライバ
シー選好を決定する。PII主体には,例えば,会社の人事システムに記載された従業員,信用情報で言及さ
れた消費者,電子カルテに記載された患者が含まれる。PII主体とみなされるためには,必ずしも各個人が
名前で直接的に識別されなくてもよい。PIIが関連する個人を間接的に識別することができる場合には(例
口座番号若しくは社会保障番号によって,又は利用可能な属性を組み合わせて),当該個人は,そのPIIの

――――― [JIS X 9250 pdf 8] ―――――

                                                                                              7
                                                                X 9250 : 2017 (ISO/IEC 29100 : 2011)
集合に対してPII主体であるとみなされる。
4.2.2  Pll管理者
  PII管理者は,なぜ(目的)及びどのように(手段),PII処理が行われるかを決定する。PII管理者は,
その管理下でPII処理がなされる間,このフレームワークのプライバシー原則が遵守されることを確実に
するのがよい(例 必要なプライバシー管理策を実施することによって)。(同じ又は異なる正当な目的の
ために)同じPIIの集合又はPIIについて実施される一連の操作に対して,複数のPII管理者がいる可能性
もある。この場合には,PII処理においてプライバシー原則が確実に遵守されるように,その複数のPII管
理者は,協力して必要な手配を行わなければならない。また,PII管理者は,処理の運用の全部又は一部を
別のプライバシー利害関係者に代行させることもできる。PII管理者が機微PIIを処理しているか否かを,
PII管理者は慎重に評価するのがよい。また,関連する法域で規定された要求事項,及びプライバシーリス
クアセスメントで特定されたPII主体に起こり得る悪影響に基づき,妥当かつ適切なプライバシー管理策
及びセキュリティ管理策を実施するのがよい。
4.2.3  Pll処理者
  PII処理者は,PII管理者に代わりPII処理を実施し,PII管理者に代わり又はその指示に従い行動し,規
定されたプライバシー保護要件を遵守し,かつ,対応するプライバシー管理策を実施する。
  一部の法域では,PII処理者は,契約によって拘束される。
4.2.4  第三者
  第三者は,PII管理者又はPII処理者からPIIを受け取ることができる。第三者は,PII管理者に代わり
PIIを処理することはない。一般に,第三者は,当該PIIを受け取った時には,それ自身がPII管理者にな
る。

4.3 インタラクション

  4.2で特定した登場者(actor)は,様々な方法で互いにPIIのやりとり(インタラクション)をすること
ができる。PII主体,PII管理者及びPII処理者の間において生じ得るPIIの流れについては,次のシナリオ
に特定できる。
a)   II主体がPII管理者にPIIを提供する(例 PII管理者によって提供されるサービスに登録し,PII主
    体がPII管理者にPIIを提供する場合)。
b)   II管理者がPII処理者にPIIを提供し,PII処理者は,PII管理者に代わりそのPIIを処理する(例 外
    部委託契約の一部として,PII管理者がPII処理者にPIIを提供し,PII処理者は,PII管理者に代わり
    そのPIIを処理する場合)。
c)   II主体がPII処理者にPIIを提供し,PII処理者がPII管理者に代わりそのPIIを処理する。
d)   II管理者がPII主体に,PII主体と関連するPIIを提供する(例 PII主体の要求に従って,PII管理者
    がPII主体に,PII主体と関連するPIIを提供する場合)。
e)   II処理者がPII主体にPIIを提供する(例 PII管理者の指示に従って,PII処理者がPII主体にPIIを
    提供する場合)。
f)  PII処理者がPII管理者にPIIを提供する(例 PII処理者が指示されたサービスを実施した後,PII処
    理者がPII管理者にPIIを提供する場合)。
  PII主体,PII管理者,PII処理者及び第三者のこれらのシナリオにおける役割を表1に示す。
  PII処理者と第三者とは,区別する必要がある。PII処理者にPIIが送付されても,PIIの法的規制は元の
PII管理者に残る一方で,第三者は,当該PIIを受け取った時には,それ自身がPII管理者になり得るから

――――― [JIS X 9250 pdf 9] ―――――

8
X 9250 : 2017 (ISO/IEC 29100 : 2011)
である。例えば,第三者が,PII管理者から受け取ったPIIを更に他の者に提供することを決めた場合には,
当該第三者自身がPII管理者として行動することから,もはや第三者とはみなされない。
  PII管理者及びPII処理者の側と第三者の側とにおいて生じ得るPIIの流れについては,次のシナリオに
特定できる。
g)   II管理者が第三者にPIIを提供する(例 業務契約においてPII管理者が第三者にPIIを提供する場
    合)。
h)   II処理者が第三者にPIIを提供する(例 PII管理者の指示に従ってPII処理者が第三者にPIIを提供
    する場合)。
  PII管理者及び第三者のこれらのシナリオにおける役割を表1にも示す。
  表1−PII主体,PII管理者,PII処理者及び第三者の間において生じ得るPIIの流れ,それぞれの役割
                シナリオ      PII主体      PII管理者      PII処理者      第三者
               シナリオa)    PII提供者     PII受領者         −            −
               シナリオb)        −        PII提供者      PII受領者        −
               シナリオc)    PII提供者         −         PII受領者        −
               シナリオd)    PII受領者     PII提供者         −            −
               シナリオe)    PII受領者         −         PII提供者        −
               シナリオf)        −        PII受領者      PII提供者        −
               シナリオg)        −        PII提供者         −        PII受領者
               シナリオh)        −            −         PII提供者    PII受領者

4.4 Pllの認識

  個人を識別可能とみなすのがよいか否かを判断するには,複数の要因を考慮する必要がある。特に,そ
のデータを保持するプライバシー利害関係者,又は他の者が合理的に使用することができる,当該個人を
識別する全ての手段を考慮するのがよい。ICTシステムは,PII主体にそのようなPIIを認識させ,かつ,
その情報の共有について適切な管理策を個人に提供する仕組みを支援するのがよい。4.4.14.4.7では,PII
主体を識別可能とみなすのがよいか否かを判断する方法について,更に説明する。
4.4.1  識別子
  場合によっては,PII主体の識別可能性について非常に明確な場合もある(例 PII主体を指し示す,又
はPII主体と情報を共有するために利用される識別子が,情報に含まれる,又は情報に結び付けられてい
る場合)。少なくとも次の場合には,情報はPIIであるとみなすことができる。
− 情報が個人を指し示す識別子を含む,又は当該識別子と結び付けられている場合(例 社会保障番号)。
− 情報が個人と関連付けることができる識別子を含む,又は当該識別子と結び付けられている場合(例
    パスポート番号,口座番号)。
− 情報が識別された個人とやりとりするために利用することができる識別子を含む,又は当該識別子と
    結び付けられている場合(例 正確な地理的位置,電話番号)。
− 情報が上の識別子のいずれかにデータをひも(紐)付けるリファレンスを含む場合。
4.4.2  区別に役立つ他の特徴
  情報をPIIとみなすためには,情報が識別子と結び付けられている必要は必ずしもない。情報が個人を
他の個人と区別する特徴を含んでいる,又は当該特徴に結び付けられている場合も,情報はPIIとみなさ

――――― [JIS X 9250 pdf 10] ―――――

次のページ PDF 11

JIS X 9250:2017の引用国際規格 ISO 一覧

  • ISO/IEC 29100:2011(IDT)

JIS X 9250:2017の国際規格 ICS 分類一覧

ページ